NIS2-Richtlinie: Sicherheitsvorfälle müssen innerhalb 24 Stunden gemeldet werden

Microsoft, BNP Paribas und der Sicherheitsspezialist Mondoo haben diese Woche neue automatisierte Abwehrsysteme vorgestellt. Der Grund: KI-gestützte Angriffe umgehen klassische Schutzmechanismen inzwischen innerhalb weniger Minuten.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Guide für Unternehmen jetzt kostenlos herunterladen

Der Schritt kommt nicht zu früh. Sicherheitsforscher warnen vor einer neuen Generation von KI-generierten Exploits und automatisierten Phishing-Kits. Allein 86 Prozent aller Phishing-Kampagnen werden heute von Künstlicher Intelligenz gesteuert.

Automatische Isolation: Microsoft schottet kompromittierte Geräte ab

Am 26. Mai 2026 startete Microsoft die Preview-Funktion Automatic Device Isolation in Microsoft Defender for Endpoint. Das System trennt infizierte Arbeitsstationen sofort vom Firmennetzwerk, sobald hochriskante Aktivitäten erkannt werden. Ziel ist es, laterale Bewegungen von Angreifern, Ransomware-Ausbreitung und Datendiebstahl zu unterbrechen – noch bevor ein menschlicher Administrator eingreifen kann.

Das infizierte Gerät bleibt dabei über eine gesicherte Verbindung mit dem Defender-Dienst verbunden. So können Sicherheitsteams den Vorfall weiter analysieren, ohne das Unternehmen zu gefährden.

Die Dringlichkeit dieser Automatisierung zeigt eine aktuelle WatchGuard-Studie: 85 Prozent aller Cyberangriffe nutzen inzwischen das Remote Desktop Protocol (RDP), um sich innerhalb eines Netzwerks seitlich auszubreiten. Manuelle Isolation war für Windows seit 2022 und für Linux seit 2023 verfügbar – doch die Geschwindigkeit moderner Angriffe macht einen automatischen Eingriff unverzichtbar.

Mondoo: KI schließt Sicherheitslücken zehnmal schneller

Parallel dazu stellte Mondoo am 25. Mai 2026 seinen Agentic Managed Vulnerability Service vor. Der Dienst kombiniert menschliche Expertise mit einer KI-gesteuerten Plattform, die den gesamten Lebenszyklus von Sicherheitslücken verwaltet.

Die Zahlen sprechen für sich: 91 Prozent der Organisationen haben laut Mondoo kein Vertrauen in ihre eigenen Schwachstellen-Prozesse. 62 Prozent arbeiten noch immer mit manuellen Workflows. Der neue automatisierte Service verspricht, die Zahl der Schwachstellen um 60 Prozent zu senken und die durchschnittliche Behebungszeit auf unter 16 Tage zu drücken. Das wäre zehnmal schneller als manuelle Eingriffe.

BNP Paribas setzt auf französische KI-Schmiede

Auch die Finanzbranche rüstet auf. Die französische Großbank BNP Paribas gab am 26. Mai eine erweiterte Partnerschaft mit dem KI-Unternehmen Mistral bekannt. Auslöser sind neue Sicherheitslücken, die durch immer leistungsfähigere Sprachmodelle entstehen – zuletzt durch Anthropics Modell „Mythos", das im April 2026 veröffentlicht wurde.

Marc Camus, Chief Information Officer bei BNP Paribas, betont: „Die Geschwindigkeit der Schwachstellenbehebung muss steigen, um diesen neuen Risiken zu begegnen." Die Bank integriert Mistral-Ingenieure direkt in ihre Teams, um interne Tools, virtuelle Assistenten und Compliance-Frameworks zu entwickeln.

Microsofts KI-Red-Team jagt eigene Schwachstellen

Um den Angreifern einen Schritt voraus zu sein, hat Microsoft ein spezialisiertes AI Red Team in Israel aufgebaut. Dessen Aufgabe: Sicherheitslücken in KI-Systemen aufspüren – wie die kürzlich entdeckte Schwachstelle in Microsoft Copilot, die auf indirekter Prompt-Injection beruhte.

Das Unternehmen präsentierte zudem MDASH, ein multimodales KI-Sicherheitssystem mit über 100 autonomen Agenten. Die Erfolgsbilanz ist beeindruckend: Eine Trefferquote von 88,45 Prozent und 16 bisher unbekannte Schwachstellen, die das System bereits identifiziert hat.

Die neue Welle der KI-Angriffe

Die Dringlichkeit automatisierter Abwehr wird durch eine Serie spektakulärer Angriffe im Frühjahr 2026 untermauert. Am 25. Mai enthüllte das Google Threat Intelligence Group den ersten vollständig von einer KI entwickelten Zero-Day-Exploit. Er zielte auf einen semantischen Logikfehler in einem Server-Management-Tool ab, um die Zwei-Faktor-Authentifizierung zu umgehen.

Noch erschreckender: Die als Storm-2949 bekannte Gruppe kompromittiert Azure-Umgebungen und extrahiert Geheimnisse aus dem Azure Key Vault – in nur vier Minuten. Die Gruppe nutzt ein Phishing-as-a-Service-Kit namens Kali365, das seit April 2024 im Umlauf ist. Es umgeht die Multi-Faktor-Authentifizierung, indem es den OAuth-Gerätecode-Fluss auf legitimen Microsoft-Anmeldeseiten ausnutzt.

Hacker nutzen immer raffiniertere psychologische Tricks wie CEO-Fraud, um in Unternehmensnetzwerke einzudringen. Dieser kostenlose Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie Phishing-Angriffe effektiv stoppen. Anti-Phishing-Paket für Unternehmen kostenlos anfordern

Auch staatlich gesteuerte Gruppen sind aktiv. Zwischen Februar und April 2026 griff die iranische Gruppe Nimbus Manticore (auch bekannt als UNC1549) die Luftfahrt- und Softwareindustrie mit KI-gestützter Malware an. Eine weitere iranische Gruppe, Screening Serpens, setzte den MiniUpdate-Trojaner in einer Kampagne ein, die bis Ende März 2026 aktiv blieb.

Besonders besorgniserregend: Am 25. Mai 2026 wurde die koordinierte Supply-Chain-Attacke TrapDoor entdeckt. Sie betraf 34 Pakete in den Paketregistern npm, PyPI und Crates.io und zielte speziell auf KI-Entwicklungsumgebungen ab.

Neue Regeln: BSI verschärft Cloud-Standards

Während die Tech-Branche ihre Abwehr automatisiert, ziehen die europäischen Regulierungsbehörden nach. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 7. April 2026 die aktualisierten C5:2026-Kriterien. Die neuen Cloud-Computing-Standards umfassen 168 Anforderungen in 17 Themenbereichen – darunter spezifische Vorgaben für Container-Management, Post-Quanten-Kryptografie und vertrauliches Rechnen.

Die Standards werden ab dem 1. Juni 2027 verpflichtend und dienen als Grundlage für die NIS2-Richtlinie und den Digital Operational Resilience Act (DORA).

Die NIS2-Richtlinie selbst verhängt strenge Meldepflichten. Organisationen müssen erhebliche Sicherheitsvorfälle fast sofort melden – eine erste Benachrichtigung innerhalb von 24 Stunden, wenn der Vorfall zu erheblichen Betriebsstörungen oder finanziellen Verlusten führt. Bei personenbezogenen Daten kommt eine separate Meldepflicht nach der DSGVO innerhalb von 72 Stunden hinzu.

Das Lärmproblem der Sicherheitszentralen

Ein zentraler Treiber der Automatisierung ist die schiere Datenflut in Security Operations Centers (SOCs). Branchenanalysten beobachten, dass KI-Agenten in Netzwerk-Erkennungs- und Reaktionssystemen (NDR) den „Alarm-Lärm" drastisch reduzieren – jenes Rauschen, das zu chronischer Überlastung von Analysten führt.

Die Zahlen verdeutlichen das Problem: In einem typischen 24-Stunden-Zeitraum markiert ein System ohne KI 847 Anomalien, von denen 312 potenziell bösartig sind – aber nur vier sind tatsächlich handlungsrelevant. Moderne Systeme mit kontinuierlichem Baseline-Vergleich und automatisierter Korrelation präsentieren Analysten direkt diese vier priorisierten Erkennungen, komplett mit relevantem Kontext.

Die Verbesserung ist dramatisch: Die Erkennungsgenauigkeit stieg von etwa 26 auf 95 Prozent. Für deutsche SOCs ist diese Automatisierung ein entscheidender Lösungsansatz angesichts des anhaltenden Fachkräftemangels in der Cybersicherheit.

Ausblick: Automatisierte Abwehr wird zum Standard

Die Umstellung auf automatisierte Sicherheit wird sich weiter beschleunigen, wenn der Cyber Resilience Act (CRA) der Europäischen Union 2027 in Kraft tritt. Das Gesetz macht „Security-by-Design" zur Pflicht für alle Produkte mit digitalen Elementen – Hersteller müssen Sicherheit über den gesamten Produktlebenszyklus integrieren.

Kurzfristig konzentrieren sich Unternehmen auf das Schließen kritischer Schwachstellen, die bereits aktiv ausgenutzt werden. Die US-Behörde CISA hat kürzlich zwei Microsoft-Defender-Lücken in ihre Liste bekannter ausgenutzter Schwachstellen aufgenommen: CVE-2026-41091, eine lokale Privilegienausweitung, und CVE-2026-45498, eine Denial-of-Service-Lücke. Zudem wurde am 26. Mai 2026 ein Patch für eine kritische SharePoint-Schwachstelle (CVE-2026-45659) veröffentlicht.

Das Wettrüsten zwischen KI-gestützten Angreifern und automatisierten Verteidigern hat gerade erst begonnen. Doch eines zeichnet sich bereits ab: Die Fähigkeit, Patches einzuspielen und Bedrohungen ohne menschliches Zutun zu isolieren, wird zum neuen Standard für Unternehmensresilienz.

de | wirtschaft | 69423480 |